我想知道是否有可能通过powershell为用户分配使用某些cmdlet的能力。
例如,New-AzureADDirectorySetting cmdlet通常只允许全局管理员使用。
是否有可能将该cmdlet授予某个用户才能使用?或者是否有任何其他角色可以在天蓝色AD中执行此操作?
你正在考虑另一种方式,有一堆roles in Azure AD,你可以将它们分配给用户。将用户分配到角色后,他可以使用特定于该角色的某些cmdlet。
您显然可以访问计算机上的所有cmdlet,但如果您现在已经分配了Azure AD权限来执行cmdlet - 它将失败,
Azure中提供RBAC(基于角色的访问控制),
你可以阅读所有关于它的here。
设置工作量很大,但对于您要做的事情来说,这是一个“正确”的解决方案。
您可能还会发现其中一个默认角色包含合适的权限,因此您无需花时间配置自己的权限。
只是你知道,cmdlet仍然会被“加载”到Powershell中,但是在没有权限的情况下执行它将会失败。